CAST research labs ha publicado un informe titulado "CAST Report on Application Software Health" donde analiza la seguridad de aplicaciones empresariales. En el análisis se han incluido 496 aplicaciones que en total suponen 152 millones de líneas de código. Las aplicaciones pertenecían a 88 organizaciones diferentes.
Una de las conclusiones de este informe es que desde el punto de vista de la seguridad los framework open source de Java son un riesgo y pueden hacer que nuestros datos no estén seguros. Según este análisis, la calidad de los diferentes frameworks opensource presenta una variabilidad bastante alta. Por ejemplo, Hibernate según su análisis ha demostrado ser excelente en cuanto a temas de seguridad. Pero Struts ha resultado ser nefasto.
No obstante, en la mayor parte de los casos el problema de seguridad ocasionado por el framework no se debe realmente al propio framework, sino a un uso inadecuado de este a través de una configuración errónea por parte de los desarrolladores.
Otras conclusiones curiosas del estudio es que las aplicaciones Java EE que no empleaban ningún framework han demostrado tener los índices de calidad más altos. Las aplicaciones que mezclaban Java con C o C++ se encuentran entre las que tienen índices de calidad más bajos. Sin embargo las que empleaban Java y COBOL o .NET tenían índices de calidad altos.
La verdad es que alguna de las conclusiones de este informe parecen un tanto arbitrarias (mezclar Java con C disminuye la calidad, pero con COBOL la incrementa). Así que yo me tomaría con cuidado sus conclusiones. A pesar de que la muestra del análisis es grande (152 millones de líneas de código), al final sólo se han analizado 88 organizaciones.
Sin embargo, un dato que parece interesante y probablemente sea cierto, es que probablemente muchas aplicaciones que emplean frameworks opensource tienen problemas de seguridad derivados de una mala configuración del framework. Este punto es consistente con mi experiencia ¿lo es también con la vuestra?